Mamy odkryty kolejny LOLBin w Windows o nazwie „SetRes.exe”, który może posłużyć do niekontrolowanego uruchomienia zewnętrznego kodu lub pliku wykonywalnego.
Powyższe narzędzie i możliwość opisał na Twitterze badacz bezpieczeństwa Grzegorz Tworek. Zauważył on, iż przy pewnych warunkach można wykorzystać setres.exe do uruchomienia zewnętrznego programu (kodu lub pliku wykonywalnego).
Co to jest SetRes.exe?
„Setres.exe” to wbudowane w system operacyjny Microsoft Windows proste narzędzie dostępne z linii komend, dzięki którego w łatwy sposób możemy zmieniać rozdzielczość ekranu.
Tym, którzy wcześniej z niego nie korzystali, podpowiadamy, iż jest bardzo pomocne dla administratorów łączących się do serwerów Windows dzięki zdalnych sesji RDP, ponieważ gwałtownie można w nim zmienić rozdzielczości ekranu (bez potrzeby przelogowania się z sesji).
W czym tkwi problem w SetRes.exe?
Nie byłoby nic dziwnego w użyciu narzędzia setres.exe, gdyby nie fakt, iż podczas podania odpowiednich parametrów w linii komend określających rozmiar ekranu (szerokość i wysokość w pikselach) w tle uruchamia ono komendę „choice”.
Tutaj Grzegorz odkrył pewną zależność i równocześnie nieprawidłowość – jeżeli umieścimy w katalogu, z którego chcemy uruchomić narzędzie „setres.exe”, plik wykonywalny o nazwie „choice.exe” lub „choice.cmd”, wówczas zostanie on automatycznie otwarty.
Powyższe oznacza, iż atakujący może uruchomić swój złośliwy kod znajdujący się np. w katalogu „Temp”. Jedyne co musi zrobić, to nadać mu odpowiednią nazwę i rozszerzenie.
Uruchomienie zewnętrznego programu dzięki SetRes.exe
W celu zademonstrowania możliwości uruchomienia zewnętrznego programu (w naszym przypadku aplikacji kalkulator) utworzyliśmy w katalogu „c:\Temp” plik o nazwie „choice.cmd”.
W jego wnętrzu umieściliśmy tylko jedną komendę, uruchamiającą kalkulator – „calc.exe”.
Od teraz z poziomu wiersza linii poleceń możemy uruchomić poniższą komendę.
Setres.exe -w 800 -h 600
UWAGA! Polecenie należy wykonać ze ścieżki, w której znajduje się plik „choice.cmd”.
Po wciśnięciu ENTER, po kilku sekundach powinien pojawić się na ekranie kalkulator.
Ważną informacją jest, iż do uruchomienia narzędzia „setres.exe” nie potrzeba uprawnień administracyjnych na serwerze. Polecenie działa na użytkowniku z normalnymi uprawnieniami, konieczne jest jedynie zalogowanie się na serwer.
Podsumowanie – SetRes.exe
„Setres.exe” to z pewnością wartościowe narzędzie wykorzystywane przez zaawansowanych użytkowników Windows, ale kryje w sobie pewną nieprawidłowość, która może pomóc atakującemu w ominięciu zabezpieczeń systemowych i w konsekwencji uruchomieniu przez niego złośliwego kodu.
Zalecamy zaktualizowanie bazy monitorowanych plików w rozwiązaniach do bezpieczeństwa o nowy, odkryty przez Grzegorza LOLBin setres.exe.
Grzegorzowi oczywiście gratulujemy i trzymamy kciuki za kolejne „wykopaliska” w dziedzinie cybersecurity.
Dla zainteresowanych tematem LOLBins zamieszczamy interesujący link, pod którym znajdziecie opis nie tylko SetRes.exe, ale także wielu innych narzędzi.
